कुछ दिनों पहले वेराकोड (एक आवेदन सुरक्षा कंपनी) रिहा एक ब्लॉग पोस्ट के माध्यम से, ओपन सोर्स लाइब्रेरी को शामिल करने के कारण होने वाली सुरक्षा समस्याओं पर एक अध्ययन अनुप्रयोगों में।
८६,००० रिपॉजिटरी को स्कैन करने और लगभग २,००० डेवलपर्स के एक सर्वेक्षण के परिणामस्वरूप, यह निर्धारित किया गया था कि कोड में स्थानांतरित ७९% तृतीय-पक्ष पुस्तकालय परियोजनाओं को बाद में कभी भी अद्यतन नहीं किया जाता है।
वेराकोड बताता है अपने अध्ययन मेंया कि मुख्य समस्या अनुप्रयोगों में सुरक्षा समस्याओं से जुड़ा है कि ओपन सोर्स लाइब्रेरी का उपयोग यह है कि उन्हें गतिशील रूप से जोड़ने के बजाय, कई कंपनियां वे बस शामिल हैं आपकी परियोजनाओं में आवश्यक पुस्तकालय, इन पुस्तकालयों में बाद में मिली त्रुटियों के संभावित अद्यतन या समाधान को ध्यान में रखे बिना।
एक ही समय में, ध्यान दें कि पुराना पुस्तकालय कोड सुरक्षा मुद्दों का कारण बनता है और इस अध्ययन से पता चलता है कि लगभग 92% मामलों को केवल पुस्तकालय कोड को अद्यतन करके टाला जा सकता है।
आज हम अपनी वार्षिक स्टेट ऑफ सॉफ्टवेयर सिक्योरिटी रिपोर्ट का ओपन सोर्स संस्करण प्रकाशित करते हैं। ओपन सोर्स लाइब्रेरी की सुरक्षा पर विशेष रूप से ध्यान केंद्रित करते हुए, रिपोर्ट में ३०१,००० से अधिक अद्वितीय पुस्तकालयों वाले ८६,००० से अधिक रिपॉजिटरी से १३ मिलियन स्कैन का विश्लेषण शामिल है।
पिछले साल की ओपन सोर्स संस्करण रिपोर्ट में, हमने ओपन सोर्स लाइब्रेरी के उपयोग और सुरक्षा का एक स्नैपशॉट देखा। इस वर्ष, हम पुस्तकालय विकास की गतिशीलता की जांच करने के लिए एक बिंदु-इन-टाइम स्नैपशॉट से आगे निकल गए और बग खोज सहित पुस्तकालय परिवर्तनों पर डेवलपर्स कैसे प्रतिक्रिया करते हैं।
इसके अलावा पुस्तकालयों को अद्यतन न करने के बहाने, यह बकाया है एक संभावित संगतता विफलता के लिए जो ज्यादातर निराधार हैं। इस तरह के बहाने का सामना करना पड़ा Veracode इसके विपरीत साबित हुआ उनके अध्ययन में लगभग ६९% मामलों का अध्ययन किया गया, कहा कि पैच रिलीज में कमजोरियों को ठीक किया गया था जो कार्यक्षमता में परिवर्तन से संबंधित नहीं थे।
रिपोर्ट से पता चलता है कि ओपन सोर्स लाइब्रेरी लगभग सभी सॉफ्टवेयर की नींव हैं, लेकिन यह एक ठोस नींव नहीं है, बल्कि एक नींव है जो लगातार विकसित हो रही है और बदल रही है। हालाँकि, विकास प्रथाएँ हमेशा इन पुस्तकालयों की गतिशील प्रकृति के अनुकूल नहीं होती हैं, जिससे संगठन उजागर हो जाते हैं।
भी उल्लेख करता है कि डेवलपर्स को सूचित करने से भी प्रभाव पड़ता है कमजोरियों की उपस्थिति पर: sमैं डेवलपर्स को सूचित किया गया था पुस्तकालय में किसी समस्या के बारे में 17% मामलों में समस्या हल हो गई एक घंटे में और एक हफ्ते में 25%।
यदि इस बारे में जानकारी थी कि पुस्तकालय में भेद्यता किसी एप्लिकेशन से समझौता कैसे कर सकती है, तो 50% मामलों में पैच तीन सप्ताह में जारी किया गया था, और जानकारी प्रदान किए बिना, भेद्यता के उन्मूलन के लिए 7 महीने या उससे अधिक इंतजार करना पड़ा।
एक चौथाई भाग सर्वेक्षण किए गए डेवलपर्स ने कहा कि पुस्तकालय चुनते समय जड़ना, मुख्य फोकस कार्यक्षमता पर है और कोड लाइसेंस, और उसके बाद ही सुरक्षा पर विचार किया जाता है।
हम 2019 बनाम 2020 में सबसे लोकप्रिय पुस्तकालयों के साथ-साथ 2019 बनाम 2020 में ज्ञात कमजोरियों वाले सबसे लोकप्रिय पुस्तकालयों को देखते हैं। निचला रेखा: आप उन चीजों की सूची में ओपन सोर्स लाइब्रेरी के उपयोग को जोड़ सकते हैं जो नाटकीय रूप से बदल गई हैं। 2020 क्या खास है और क्या नहीं, और क्या सुरक्षित है और क्या नहीं, यह जल्दी बदल जाता है।
यह ध्यान दिया जाना चाहिए कि कोड लाइसेंस सत्यापन की स्थिति बेहतर नहीं है: 54% उत्तरदाताओं ने स्वीकार किया कि वे अपने उत्पाद में इसे एकीकृत करने से पहले हमेशा पुस्तकालय कोड के लिए लाइसेंस सत्यापित नहीं करते हैं। केवल 27% उत्तरदाता अनिवार्य लाइसेंस संगतता सत्यापन का अभ्यास करते हैं।
अंत में, यदि आप वेराकोड द्वारा किए गए अध्ययन के बारे में अधिक जानने में रुचि रखते हैं, तो आप विवरण देख सकते हैं निम्नलिखित लिंक में
लाइब्रेरी को लिंक करने के बजाय स्थानीय फाइल सिस्टम पर रखना आम बात है, क्योंकि कभी-कभी लिंक बदल जाता है और कार्यक्षमता खो जाती है।